evgeniy.siroshtan писал(а): ↑19 янв 2019, 16:24
1) Сеть локальная до 10 компов. Ходят в 10.10.10.0/24 на стандартных настройках с QoS.
На счёт QoS не понял: используете виндовый/дополнительный софт или ещё какой-то?
(аа, увидел потом в конфиге про лимит)
evgeniy.siroshtan писал(а): ↑19 янв 2019, 16:24
2) Один провайдер приходит по кабелю в ether1 и по dhcp дает мне белый ip за который вяжется ddns. Скорость 100Мбит.
Хороший провайдер, и 100мбит и белый IP. А в микротике своя есть реализация DynDNS - Cloud называется,
включаете, получаете уникальное постоянное доменное имя, а дальше его (имя это) используете,
или можете внутрь своего зоны интегрировать.
evgeniy.siroshtan писал(а): ↑19 янв 2019, 16:24
3) Виновник торжества RB941-2nD-TC (hAP lite). Процессор в среднем висит 2%, оперативки свободно 7МБ.
Ну разве он виновник? Формально и официально это даже не роутер, а точка доступа.
А Вы хотите 100мбит и чтобы всё было. У него архитектура процессора такая слабая,
что даже дополнительные пакеты не все есть, вот сервер времени нету на архитектуру
smips. Этот роутер обычно в подарок идёт, а Вы 10 компов, потоки онлайн, ВПН,
и 100мбит по WAN-интерфейсу. Как-то даже поспешно, хоть бы даташит почитали на него:
https://mikrotik.com/product/RB941-2nD- ... estresults
(начальная линейка в линейке SOHO)
evgeniy.siroshtan писал(а): ↑19 янв 2019, 16:24
4,5) На роутере поднимал PPTP сервер (потом пробовал L2TP/IPSec), на который исправно подключались клиенты на винде и андроиде со стороны провайдера в 10.10.11.0/24. Все работает и чудно. Но как выяснилось у 10.10.10.0/24 в браузерах на видеоплеерах тайм-аут получения видеопотока. При отключении vpn сервера все начинало работать.
Описывают, что на очень сложных инженерных курсах по маршрутизации даже BGP на нём пытаются ворочить,
для тестов, так что как видите он теоритически может, но лишь в теории.
(
КАК временное решение и оно опасное:) = Отключите шифрование, и попробуйте.
На Вашем месте, я бы вообще купил ещё (вторую) отдельную железку,
взял у провайдера отдельный адрес, и сделал выделенный ВПН сервер.
А 941 для тестов и прочего. Не для работы 10х компов с потоками, хотя как видите, Интернет
он тянет, но как идёт работа связана с "математикой", а шифрование и есть нагрузка такая,
то всё.
Смотрите роутеры RB750/760 (минимум), а то и RB4011(с запасом), для организации + ВПН можно
и купить.
По конфигу, дам мои стандартные советы:
1) не использовать пре-заводской конфиг
2) на чистый роутер с нуля, также не используя веб-админку, и уж тем более глючный визард QuickSetup
руками сделать конфигурацию.
3) Если используется бридж(и), то адресация задаётся на бридже, а порт включённый в состав бриджа,
перестаёт быть самостоятельным (становится подчинённым) и на него адрес устанавливать - как бы
не оказывает должного эффекта. Почему так делают в пре-конфиге не знаю. На курсах учили так, как
я описал.
4) Файрвол можно иногда меньше написать, не забыв отключить лишнее на роутере(порты/сервисы) +
закрыть/прикрыть открытые нужные поры (DNS/WWW).
5) ну и уже на более мощном роутере аккуратно поиграться с типом шифрования (это вообще считаю
отдельная тематика) и найти удобно/согласующее решение, чтобы и роутеру и ВПН-клиентам и всем
было удобно и оптимально(было и шифрование и не было медленной работы по ВПН).
Возможно надо будет делать два профиля/три, один ВПН для одних, второй для других, это всего лишь мои советы...
И на всякий случай, при выборе нового офисного роутера, прочитайте про IPsec (ссылка внизу абзаца),
и там посередине есть красивая таблица с описанием какой роутер какие типы шифрования
поддерживает на аппаратном уровне, вот ссылка:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
(кстати, обратите внимание: что только новый RB4011 и RB1100AHx4 - имеет в таблице всё "зелёное").